Una técnica evade el registro de accesos y permite validar en silencio credenciales robadas de Microsoft Entra ID
Dos grupos de atacantes distintos usan una técnica de suplantación para probar contraseñas robadas contra cuentas de Microsoft Entra ID sin que aparezca un inicio de sesión exitoso en los registros. Una campaña afectó a un millón de cuentas en casi 4,000 organizaciones. La otra apuntó a más de 2 millones de usuarios.
Qué ocurrió
Dos grupos de atacantes distintos están usando una técnica llamada suplantación del identificador de cliente OAuth (OAuth: mecanismo que permite que dos sistemas intercambien accesos sin compartir la contraseña) para probar contraseñas robadas contra cuentas de Microsoft Entra ID, el sistema que muchas empresas usan para gestionar el correo corporativo y el inicio de sesión único. El sistema responde de forma distinta según si el identificador usado es válido, lo que permite al atacante confirmar cuentas y contraseñas sin que quede registrado un inicio de sesión exitoso. Una campaña usó más de 700,000 identificadores falsos contra un millón de cuentas en casi 4,000 organizaciones. Otra, con infraestructura de Cloudflare, apuntó a más de 2 millones de usuarios.
Quién está expuesto
Para organizaciones
Cualquier empresa que use Microsoft Entra ID para el correo corporativo, los documentos compartidos o el inicio de sesión único. El riesgo es mayor si no hay monitoreo activo de los registros de autenticación.
Para personas
Empleados cuyas contraseñas ya fueron filtradas en alguna brecha anterior y las reutilizan en su cuenta corporativa.
A considerar
Los registros de inicio de sesión que muestran un identificador de aplicación sin nombre asociado son la señal más clara de este ataque. Las políticas de acceso condicional configuradas solo para aplicaciones específicas no detienen esta técnica, porque el atacante nunca completa un inicio de sesión reconocido como tal.
Impacto potencial
Si el atacante confirma que una contraseña robada es válida, el siguiente paso habitual es usarla para entrar a la cuenta real, sin necesidad de adivinar ni de generar alertas previas. Esto puede derivar en acceso al correo corporativo, documentos compartidos o sistemas conectados mediante inicio de sesión único.
Leer fuente original →